Onderzoeker installeert permanent malware via Thunderbolt
Een beveiligingsonderzoeker is erin geslaagd om via de Thunderbolt-poort op een Mac permanente malware te installeren. Deze is niet te verwijderen door OS X opnieuw te installeren, omdat de EFI-chip overschreven wordt met malafide software.
De EFI-chip bevat firmware die voordat OS X opstart al uitgevoerd wordt. Normaal kan dit alleen via een software-update van Apple zelf overschreven worden. Via Thunderbolt is het echter mogelijk om software op de chip te flashen, die bij de eerstvolgende reboot als update uitgevoerd wordt.
De onderzoeker presenteerde tijdens de CCC-conferentie in Duitsland een apparaatje dat in de Thunderbolt-poort wordt gestoken en de malafide software naar de EFI-chip schrijft. Er wordt geen controle op de software uitgevoerd, waardoor de kwaadaardige firmware geïnstalleerd kon worden. Het installeren van de kwaadaardige firmware is mogelijk omdat Apple nog ondersteuning biedt voor een oude methode genaamd OptionROM. De methode is succesvol op 6 MacBooks getest, maar werkt in theorie ook op een iMac of Mac Mini met Thunderbolt-aansluiting.
Apple is op de hoogte van de problemen en bezig met een fix. Voor zover bekend is de exploit nog niet ‘in het wild’ misbruikt. Om het te laten werken is fysieke toegang tot een Mac nodig. De volledige presentatie zoals die tijdens de CCC-conferentie is gegeven, is te zien op Flickr.
Archief
- There's always One More Thing… 2017.06.01
- De 6 irritantste Apple-meldingen en hoe je ze uit zet 2017.05.31
- Apple’s Carpool Karaoke start 8 augustus 2017.05.31
- ‘Nieuwe iPads, MacBooks én Magic Keyboard op WWDC 2017’ 2017.05.31
- Waarom de ‘iPhone 8’ anders gaat heten 2017.05.31
- Mobiel betalen in het OV loopt uit op flop 2017.05.31
- Nest Cam IQ: beter beeld, minder cloud 2017.05.31
- Apple zet serieus in op eigen 4G-chips 2017.05.30
- Essential Phone: oude bekende geeft eigenzinnig antwoord op de iPhone 2017.05.30
- Nieuwe Mac-app van maker Pixelmator op komst 2017.05.30